第3回　ルールを守りたくなる環境を創り出す

　組織を維持する場合，そこには必ず一定のルールがあります。情報セキュリティに関するルールもその一つです。ただ，セキュリティに限らずルールを構成員全員にきちんと守らせることは容易ではありません。

　その対策としてよく挙げられるのが罰則規定や教育の徹底です。それでも，故意もうっかりも併せ，ルール違反はなかなか減らないケースが少なくありません。そこでお勧めしたいのが少し視点を変えて，「ルールを守りたくなる/自然に守る環境」を作ることです。

罰則の限界

　ルールを構成員全員に守らせるために最も多く行われるのが，「ルールを破った際の罰則を設ける」ことです。これは，「ルールを破ると割に合わない」状況を作り出すことでルールをないがしろにさせないための方策です。ただ，情報セキュリティを順守するための組織ルールが定着するかどうかは，構成員個人に依存しますから，罰則を設けるだけでは「自己管理としてルールを徹底させる」という目的達成に限界があります。

　例えばルールを破っても，必ず情報漏洩につながるとは限りません。そのような事態が重なると「これくらいは大丈夫」，「みんなやっているから大丈夫」といった感覚を構成員に持たせてしまう危険性があります。もっと危険なのは，「見つからなければ大丈夫」という感覚です。この感覚が広がってしまうと，その時点でルールは有名無実化します。情報を漏洩させた社員を「処分」「解雇」することはできますが，漏洩してからでは，企業として損害を防ぐことはできません。

ルールは簡素で分かりやすくないと忘れられる

　では，ルールの周知徹底はどうでしょう。組織内にルールを記述したマニュアルを配布する，トレーニングを実施する，問い合わせ対応窓口を設けるなど，方法はいろいろあります。抜け道がないよう，ルールそのものを詳細にし，マニュアルやトレーニングもそれに対応させるなど，継続的にルールを見直すこともでき，手法としては全く申し分ありません。

　ただ，残念ながらこれも限界があります。ルールは運用していくと変更や追加が発生します。それらの変更が発生する都度マニュアルを更新し，トレーニングすることは，あまり現実的とは言えません。しかもそれをすべての構成員に周知するのは容易ではありません。情報セキュリティは，ほとんどの場合，構成員本来の業務とは異なるものでしかないからです。現場での日々の業務で都度都度の判断が必要になる局面があったとして，いちいちマニュアルを参照できるとは限りません。結果として，ルールはないがしろにされていくことがほとんどです。つまり，ルールは組織の構成員全員が把握できるぐらいに十分に簡素で分かりやすいものでなければなりません。

人は「自ら得たもの」を好む

　「罰則の限界」「ルール詳細化の限界」を乗り越えるには，「ルールを押し付けるのではなく，ルールを守るように仕向ける」ことが重要です。つまり，十分に簡素で分かりやすいルールを自主的に守るような環境を作り出すことです。ここで，筆者の見てきたいくつかの事例を紹介しつつ話を進めたいと思います。

　やや卑近な例ですが，携帯端末の紛失防止策で，面白い取り組みを紹介しましょう。近年の携帯端末は性能が向上し，一昔前のノートPC並みの機能を持つまでになっています。同時に，格納できる情報量も格段に増え，携帯端末の紛失は深刻な情報漏洩や不正アクセスの引き金になり得ます。しかも，ポケットに入る大きさなので「うっかり」無くす可能性はノートPCよりも高いと言えます。

　筆者が以前に関わった仕事で，会社から貸与した携帯端末の紛失が続き，問題視されたことがありました。ところが，あることをきっかけに端末の紛失件数が激減しました。きっかけというのは，携帯端末の使い方に関するルールの緩和です。

　始まりは一人の女性管理職からの「デコレーション（つまりデコ電）して良いですか？」との問い合わせでした。最初にそれを受けた時には「何を言っているのだ？」と戸惑いましたが，「カワイクないと扱いがぞんざいになって無くしそう」，「カワイイと自分の分身みたくするから無くさない」という話を聞いているうちに一理あると考え，試しに「返却時に元通りにできるようにすること」を条件に許可しました。その結果，女性に限っては紛失がピタリとなくなりました（男性の紛失はその後も続きましたが）。「愛着を持った物は大切にする」という人の心理を利用し，「自分だけの端末」という愛着を持たせることで，自然な形で「端末をなくしてはいけない」というルールを順守させたわけです。

　この「自分だけの」という感覚が，組織レベルに広がると非常に大きな力になります。「自ら守るルールを自ら作り上げる」ことも同様の取り組みでしょう。規模の大きな組織ではなかなか難しいのですが，筆者が見てきた限りでは，このような現場には「自ら作った組織だから日々の業務も自らが主体的に行うもの」という当事者意識が生まれ，必然的にルールが順守される環境ができあがります。

　「そう簡単にいくものではない」と思うかもしれません。ただ，日々の何気ない事柄に目を配ることで方法が見えてくるケースは多々あります。重要なのは，不平，不満，要望などの「ちょっとしたことを見逃さない」ことと，「当事者として事に臨む」ことです。ともすると見逃してしまいそうな「ちょっとしたこと」に問題解決の糸口が潜んでいることは珍しくありません。当事者意識を持つことで，そのような「ちょっとしたこと」が，よりはっきりと見えてきます。